Überwachung

Bald landen in ganz Europa alle Fingerabdrücke im Personalausweis

Die EU-Staaten wollen biometrische Daten aller Bürger in Europa sammeln. Verhandler einigten sich in Brüssel auf neue Vorschriften für Identitätskarten. Stimmt das EU-Parlament zu, müssen bald auch in Deutschland Fingerabdrücke im Personalausweis gespeichert werden.

Die britische Polizei beim Fingerabdrücke-Nehmen
Die britische Polizei beim Fingerabdrücke-Nehmen: Bald auch für Personalausweise verpflichtend? CC-BY-SA 2.0 West Midlands Police

Wer einen neuen Personalausweis holt, muss wohl bald seinen Fingerabdruck abgeben. In Brüssel steht ein Gesetz vor dem Beschluss, nachdem Fingerabdrücke und biometrische Fotos in jedem neuen Ausweis auf einem Chip gespeichert werden müssen. Verhandler einigten sich heute in Brüssel auf einen Entwurf, der das vorschreibt. Stimmt das EU-Parlament zu, ist die umfassende Anordnung zur Sammlung biometrischer Daten bald auch in Deutschland Gesetz.

Die Speicherpflicht kommt auf Druck der Mitgliedsstaaten und der EU-Kommission. Biometrische Daten sollen Ausweise sicherer vor Betrug und Identitätsdiebstahl machen. Auf die Maßnahme drängte unter anderem Deutschland: Bundesinnenminister Horst Seehofer (CSU) hält sie für „zwingend erforderlich“, sagte sein Amt der Süddeutschen Zeitung.

Sammlung von Millionen Fingerabdrücken

Allerdings sind Ausweisdokumente ohnehin bereits ziemlich sicher: Die EU-Grenzagentur Frontex meldete in vergangenen Jahren eine stark rückläufige Zahl an gefälschten Dokumenten bei der Einreise, trotz steigender Einreisezahlen. Warum also das Gesetz?

Die EU-Verordnung könnte Fingerabdrücke von bis zu 370 Millionen Europäern in die Datenbanken wandern lassen. Bisher speichern nur zehn EU-Staaten Fingerabdrücke in Ausweisen. In Deutschland war das Speichern von Fingerabdrücken bislang nur im Reisepass verpflichtend, im Personalausweis hingegen freiwillig.

Mit dem neuen EU-Gesetz wachsen die amtlichen Datenspeicher. In Deutschland greifen nach einer Gesetzesänderung vor der Bundestagswahl 2017 Polizeien und Geheimdienste bereits automatisiert auf vorhandene biometrische Daten von Pass- und Ausweisbesitzer zu – sogar ohne Protokollierung der Zugriffe bei den Meldebehörden.

Bürgerrechts-Bedenken

Gegen den automatisierten Zugriff läuft eine Verfassungsbeschwerde der Gesellschaft für Freiheitsrecht. Unter den Beschwerdeführern sind auch Markus Beckedahl und Andre Meister von netzpolitik.org. Die Sammlung biometrischer Daten könne in Verbindung mit sogenannter „intelligenter Videoüberwachung“ nach Vorbild des Testlaufs am Bahnhof Berlin-Südkreuz zu umfassender Observierung des öffentlichen Raums führen, warnen die Beschwerdeführer.

EU-Datenschützer meldeten indes wegen der anwachsenden Sammlung biometrischer Daten in ganz Europa Bedenken an. Die Speicherung von Fingerabdrücken gehe über den Zweck von Personalausweisen hinaus und sei zu weitgehend, urteilt die Grundrechteagentur FRA. Der Gesetzgeber müsse zudem das Risiko illegaler Abrufung der Daten in Betracht ziehen. Der Europäische Datenschutzbeauftragte betont in seiner Stellungnahme, Personalausweise ließen sich auch durch weniger in die Privatsphäre eingreifende Mittel sichern.

Skepsis im EU-Parlament

Der nun beschlossene Entwurf ist Ergebnis eines Tauziehens zwischen den EU-Staaten, der Kommission und dem Parlament. Das EU-Parlament überließ es in seinem Entwurf den Mitgliedsstaaten, ob sie die Speicherung von Fingerabdrücken verpflichtend machen wollen. Abgeordnete von Linken, Grünen und Sozialdemokraten forderten zudem, dass die Fingerabdrücke nur für die Sicherung der Ausweise genutzt werden dürfen.

Doch die Mitgliedsstaaten stellten sich in ihrer gemeinsamen Ratsposition gegen solche Ausnahmen. In den Verhandlungen zwischen Rat, Kommission und Parlament setzte sich die Hardliner-Position durch, die Verwendung der Daten bleibt im Entwurf den Mitgliedsstaaten überlassen.

Die heutige Einigung verhandelte der französische Liberale Gerard Deprez für das Parlament. Über den Entwurf stimmt nun allerdings der Bürgerrechts-Ausschuss und danach das ganze EU-Parlament ab. Noch haben die Abgeordneten ein Chance, nein zur Datensammelei zu sagen.

12 Ergänzungen
  1. Der automatisierte Zugriff auf biometrische Daten im Melderegister bedeutet m.E. aber keine Batch-Abfrage, sondern meint den Einzelfall, unter Umgehung von SachbearbeiterInnen. Also kein massenhafter Abgleich von Fotos á la Südkreuz. Macht ja auch keinen Sinn das Melderegister mit Fotos aus dem öffentlichen Raum abzugleichen.

    1. Es ist wie ein Puzzle. Man forciert den Aufbau einer fragwürdigen Sicherheits- und Überwachungs-infrastruktur in alle Himmelsrichtungen: Aramid-Panzerung für die Riot Police im Norden, harte Polizeigesetze im Süden, Upload-Filter, Staatstrojaner und Hacking-Back im digitalen Raum.

      Mißbrauch könnte womöglich dadurch effektiv verhindert werden, dass die Speicherung in einer Form erfolgt, die Abgleiche rechen- und zeitaufwendig gestaltet.
      Der Aufwand müsste mit Anzahl der Vergleiche exponentiell steigen. Beispiel:

      1 vs 1 4 Sek.
      1 vs 80E^6 > end of time

      Eine derartige Lösung ist politisch natürlich unwillkommen. Laut eines Bekannten im Polizeidienst habe man das bereits so ähnlich implementiert – ungewollt natürlich.

  2. Ich weiß, dass diese Position ein Sakrileg für Datenschützer ist: „Fingerabdrücke sind ein einzigartiges Identifikationsmerkmal, ohne persönlichen Informationsgehalt“

    Ich bin für Datensparsamkeit, und auch gegen unverantwortbare Datenzentralisierung! Daher bin ich auch gegen ein weiteres Zentrales Register. Aber ich würde es gerne sehen, wenn viele der vorhandenen Daten entfernt und gegen weniger und unpersönlicherere, aber besser zur fälschungssicheren Identifikation geeigneten Daten ausgetauscht werden würden.

    „Persönlicher Informationsgehalt“, damit meine ich: DNA, Krankheitsdaten, Internetsurfverhalten, Handyortung. Daten, die Rückschlüsse auf deine Persönlichkeit zulassen, dich überall berührungslos(!) identifizieren und verfolgen können etc.

    „Einzigartiges Identifikationsmerkmal“, damit meine ich: von dir nicht fälschbare Eigenschaft in persona, also dein Finger (deinen Abdruck kann man fälschen, aber nicht dich mit deinem lebenden Finger), DNA. Nicht jedoch Haarfarbe, Gewicht, Browserfingerprint etc.

    Fingerabdrücke können sehr einfach genommen werden, beinhalten mMn. null Persönlichkeits-Informationen, geben keine Auskunft über dein Befinden bzgl. z.B. Krankenversicherungvertragsverhandlung, machen dich nur mit weit mehr Aufwand als „Überwachungskameras und Gesicht“ verfolgbar. Und du kannst deine Finger nicht einfach so fälschen. Du kannst sie zukleben für eine Weile, du kannst einen Fake-Fingerabdruck-Wachsüberzug tragen, aber all das wird gesehen, wenn jemand auf dem Amt, an der Grenze, bei der Polizei – also an Orten, wo es wirklich drauf ankommt – dich für die Gesellschaft identifizieren muss.

    1. Ich denke kritikwürdig ist in erster Linie die prognostizierbare technische Umsetzung mittels zentralem Register, in welchem zumindest temporär der Fingerabdruck bis zur Fertigung des PA gespeichert bliebe und damit „abschnorchelbar“ wäre.

      Mit einer ausnahmslosen Speicherung auf dem Chip des PA könnte man leben, da man stets „Herr seiner Daten“ bliebe. Wir wissen aber wohin dieser Überwachungswahn führt. Sicherlich nicht zu mehr realer Sicherheit.

      Gerade die Einzigartigkeit macht den Fingerabdruck schützenswert. Die Sensorik in modernen Scannern erfasst weitaus mehr Daten als man vermutet.

  3. Wer hätte das gedacht: Dez. ’83 “Volkszählungsurteil“ als Meilenstein des Datenschutzes gefeiert, dann, mit der Entstehung der soziale Netzwerken – mehrheitlich – User, die einen Großteil von persönlichen (Daten) freiwillig an kleine und große Big Brothers, an Datenkraken übermitteln – quasi in einer Art vorauseilendem Gehorsam. Dazu noch – landauf landab – Polizeiaufgabengesetze, die die Grund-/ Persönlichkeitsrechte der Bürgerinnen und Bürger “bis zu Unkenntlichkeit beschneiden“ (Barbara Thiel, Landesdatenschutzbeauftragte Niedersachsen).
    Was wird man den Menschen nur vorgaukeln, welche Vorteile zu Felde führen, damit sie verpflichtende Fingerabdrücke (und biometrische Bilddaten) in künftigen Personalausweisen akzeptieren? Oder setzt man hier auf die altbewährte Gleichgültigkeit?

  4. Wer sich fragt, wie zur Hölle funktionieren autoritäre Staaten, Polizeistaaten, Diktaturen, Überwachungsstaaten? Wie können Menschen mit ihrer täglichen Arbeit so etwas tun?
    Wer sind diese Menschen und was ist ihr Antrieb?
    Aktuell und bei von Netzpolitik behandelten Themen könnt ihr sowas bei Freunden des Autoritären und eingeengt wirtschaftlich stark Eigennützigen wie Herrn Krings und Herrn Voss(Deutschland) oder Herrn Sobotka(Österreich) beobachten. Letzterer postuliert China als Vorbild.

  5. Wenn die nur im Ausweis gespeichert werden, wie soll ein „Abruf“ möglich sein?

    Das Thema Fingerabbrücke unbrauchbar machen wird dann beliebter in den Foren.
    Bisher schien nur Klebstoff sicher zu funktionieren, oder? Oder radikaler, die packen schnell auf eine heiiße Herdplatte.
    Ob es schon jemand bewusst gemacht hat weiß Ich nicht, aber es schrieb jemand dass ihm das passiert ist, und an der Stelle war die Haut danach glatt.

    1. Der Verordnungsentwurf schreibt die Speicherung im Ausweis vor. Wird der Text so beschlossen, wie es nun im Entwurf steht, bleibt den Mitgliedsstaaten überlassen, ob sie die Abdrücke auch in irgendwelchen Datenbanken speichern, wie es offenbar Deutschland tut.

    2. Dieses Unbrauchbar-Machen gab es durchaus schon in Kriminellen-Kreisen, ich glaub mit Säure ging es.
      Die wissen schon warum.

      Ansonsten gilt natürlich für den Fortschritt:

      Die Erhöhung der Wichtigkeit des Fingerabdruckes als ID-Merkmal schafft perspektivisch neue Geschäftsmodelle, so kann dann endlich ein Handel mit hochqualitativen Fingerabdruck-Plastiken von finanziell gewichtigen oder sonst relevanten Personen etabliert werden, nennen wir es Geschäftwmodell:
      Mafi-b

  6. Soweit ich mich erinnern kann, gibt es in Indien oder Pakistan bestimmte Leistungen nur gegen Fingerabdruck. Die entsprechende Datenbank wurde gehackt. Das ist irreparabel. Passwörter kann ich ändern, Rufnummern sperren. Ein gehackter eBay- oder Dropboxaccount ist schmerzhaft, lässt sich aber beherrschen. Würden aber in den Datenbanken Fingerabdrücke abgegriffen werden, dann kann ich nichts korrigieren. Ich bekomme keine neuen.

    1. Alles „Ausweisen“ im Internet ist fundamental zu einem gewissen Grad unsicher, weil Systembedingt unpersönlich. Im Internet Fingerabdrücke als ID zu verwenden ist – wie du sagt und ich nach derzeitigem Wissensstand dir vollständig zustimme – noch unsicherer, weil irreparabel im Falle eines Sicherheitsbruchs.

      „Einzigartiges Identifikationsmerkmale“ sind so eine Sache, wenn sie nicht verifiziert werden können.

      Fingerabdrücke sollten richtig verwendet werden, also nur um eine Person in persona eindeutig zu identifizieren. Oder um dein Handy komfortabel(!) zu entsperren, wenn du es für dich so möchtest, für Sicherheit braucht das Handy Passwörter, Kryptographie etc.

      Übers internet verwendet sind sie sicherlich nicht geeignet, aber wenn die sich zu identifizierende Person vor dir steht (z.B. Polizei, Grenze, aufm Amt), sind sie durchaus geeignet („falsche Finger sieht man sofort“). Und das tolle ist dann, wenn jemand die Fingerabdruckdatenbank stielt, hat er oder sie nichts davon (sagt nichts über deine Persönlichkeit oder körperliches Befinden aus). Daher bin ich ein Fan von dieser Art „höchst unpersönlich persönlicher“ Daten :), WENN sie richtig verwendet werden würden :(

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.